Sinds vorig jaar heeft België zijn eigen beveiligingsconferentie: BruCON. Eind september nam de tweede editie van deze volledig door vrijwilligers georganiseerde conferentie plaats in Brussel.

De conferentie in het sfeervolle Surf House van Belgacom bood een gevarieerd gamma aan presentaties en workshops, van algemene presentaties over social engineering, de evolutie van computervirussen en de toestand van mobiele malware, tot technisch diepgaande presentaties over de encryptie van het gsm-netwerk, hoe backdoors in code te ontdekken zijn en hoe je kwaadaardige pdf-bestanden analyseert.

Malwarenetwerken

Enkele presentaties gingen in op het analyseren van malwarenetwerken. Stephan Chenette, principal research scientist bij Websense Security Labs, toonde zijn open source tool Fireshark waarmee je websites die malware hosten kunt analyseren en aanvalspatronen kunt vergelijken om zo een ecosysteem van bij elkaar horende malwarewebsites te ontdekken. Olivier Thonnard van Symantec Research Labs en Andreas Moser van de Technische Universiteit Wenen bespraken het WOMBAT-project (Worldwide Observatory of Malicious Behaviors and Threats), een Europees project van het Zevende Kaderprogramma om de organisaties achter malware- en spam-netwerken in kaart te brengen. WOMBAT is in 2008 opgestart en heeft als doel een beter inzicht te krijgen in hoe de georganiseerde cybermisdaad functioneert.

De eerste fase van het project bestond uit het ontwikkelen en integreren van sensors om bronnen van malware te ontdekken, zoals honeypots en malware sandboxes. De uiteindelijke bedoeling is om op basis van deze informatie de oorsprong van de aanvallen te ontdekken: niet zozeer de ip-adressen (die zijn vaak van onschuldige slachtoffers die zonder dat ze het weten onderdeel uitmaken van botnets), maar de organisaties erachter. Door de aanvalspatronen te vergelijken worden gelijkaardige websites gegroepeerd en kan men zo malwarenetwerken onderscheiden. Uiteindelijk moet hieruit een ‘early warning system’ ontstaan ter ondersteuning van Europese internetproviders en CERT’s (Computer Emergency Response Teams).

Hoe vernietig je een bedrijf?

De meest controversiële presentatie was die van de Amerikaanse beveiligingsconsultant Chris Nickerson, waarop de reacties nogal verdeeld waren. In het programma van BruCON stond zijn presentatie aangekondigd onder de titel ‘Top 5 ways to steal a company’, maar zonder medeweten van de organisatoren deed hij er op het laatste moment een schepje bovenop en werd het ‘Top 5 ways to destroy a company’.

Nickerson viel met de deur in huis: “Alle beveiligingsspecialisten hier, mezelf incluis, zijn medeverantwoordelijk voor de slechte beveiliging van veel bedrijven.” Zijn punt was: beveiligingsconsultants en pentesters communiceren op de verkeerde manier met bedrijven die hun beveiliging laten testen, waardoor deze bedrijven helemaal niet de ernst van gevonden beveiligingsgaten beseffen, en alles dan maar op zijn beloop laten gaan. “Spreek de taal van de business”, zei Nickerson, “in plaats van in vaktermen als root exploits en shell logins te spreken en je dan erover te verbazen dat ze het niet begrijpen. Je klanten zijn geen idioten.”

Volgens Nickerson denken pentesters niet vaak genoeg na over wat belangrijk is voor een bedrijf. “Een shell is niet belangrijk voor het bedrijf; de productlijn, het merk en zijn werknemers zijn dat wel. Onderzoek welke informatie er beschikbaar is en of ze geheim, confidentieel, enkel voor intern gebruik of publiek is. En bekijk dan samen met het bedrijf wat het effect is van de vernietiging of het lekken van deze informatie: neemt de winst van het bedrijf af, komen er dure rechtszaken van of krijgt het imago van het merk een deuk? Na deze analyse weet je wat het bedrijf belangrijk vindt.”

Daarna nodigde Nickerson zijn publiek – net zoals vorig jaar maar deze keer een stap verder – uit om even de ‘zwarte hoed’ van de boosdoeners op te zetten en te denken als een misdadiger: nu je weet wat het bedrijf belangrijk vindt, hoe kan je dan het bedrijf vernietigen? Je kunt bijvoorbeeld het merk bezoedelen door in te breken in de computers van de marketingafdeling en marketingmateriaal aan te passen of een vals persbericht uit te sturen, of je kunt het product zelf inferieur maken: backdoors of bugs in software introduceren of kritieke systemen voor een productielijn uitschakelen. Je kunt ook chaos in het bedrijf introduceren door het salaris van de werknemers aan te passen, enzovoort.

Nickerson schuwde geen grenzen, maar tegen de boodschap achter zijn controversiële presentatie is niets in te brengen: maar al te vaak blijven pentesters – én hun klanten – te veel stilstaan bij de techniek en vragen ze zich niet af wat de impact van slechte beveiliging kan zijn als het bedrijf doelwit wordt van cybercriminelen. Een agressieve denkoefening zoals die van Nickerson confronteert je ondubbelzinnig met het belang van het dichten van gaten.#

Koen Vervloesem